近期,安全研究界傳來新消息,兩位安全專家在Black Hat黑客大會上公開了一項關(guān)于OpenAI旗下連接器(Connectors)的重大安全發(fā)現(xiàn)。據(jù)外媒詳細(xì)報道,這一漏洞允許攻擊者在不需用戶任何操作的情況下,從Google Drive賬戶中竊取敏感信息。
在大會現(xiàn)場,Michael Bargury與Tamir Ishay Sharbat詳細(xì)闡述了他們的研究成果。他們指出,利用這一漏洞實施的攻擊方式極為隱蔽,屬于“零點擊”攻擊范疇。攻擊者僅需獲取目標(biāo)用戶的電子郵件地址,并通過共享文檔的方式,即可在不被察覺的情況下執(zhí)行數(shù)據(jù)提取操作。不過,盡管攻擊手段隱蔽,但每次攻擊所能提取的數(shù)據(jù)量有限,無法直接獲取完整文檔。
Connectors是OpenAI今年早些時候為ChatGPT推出的一項測試功能,旨在讓用戶能夠“將工具和數(shù)據(jù)帶入ChatGPT”,實現(xiàn)“在聊天中搜索文件、拉取實時數(shù)據(jù)、引用內(nèi)容”等便捷操作。目前,該功能已支持至少17種服務(wù)的關(guān)聯(lián)。
值得注意的是,Bargury透露,他早在今年年初就已將這一安全漏洞報告給了OpenAI。OpenAI對此高度重視,并迅速采取了相應(yīng)的緩解措施,以防止攻擊者通過該連接器進(jìn)一步提取數(shù)據(jù)。
盡管OpenAI已采取行動,但截至目前,尚未就該漏洞及其可能帶來的風(fēng)險作出公開回應(yīng)。這一事件再次引發(fā)了業(yè)界對人工智能產(chǎn)品安全性的廣泛討論,強(qiáng)調(diào)了企業(yè)在推出新功能時,必須加強(qiáng)對安全漏洞的防范和應(yīng)對。
